Phase 5: Rollout und Skalierung der Codeüberprüfung

Aktivieren der Codeüberprüfung

Nachdem du ein Pilotprojekt für code scanning durchgeführt und interne Dokumentation für bewährte Methoden erstellt hast, kannst du code scanning im gesamten Unternehmen aktivieren. Sie können die code scanning-Standardeinrichtung für alle Repositorys in einer Organisation aus der Sicherheitsübersicht konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.

Bei einigen Sprachen oder Buildsystemen müssen Sie möglicherweise stattdessen das erweiterte Setup für code scanning konfigurieren, um eine vollständige Abdeckung Ihrer Codebasis zu erhalten. Die erweiterte Einrichtung erfordert jedoch einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren.

Aufbau von Fachkompetenz

Für eine erfolgreiche Verwaltung und Nutzung von code scanning in deinem Unternehmen solltest du dafür sorgen, dass interne Fachkompetenzen aufgebaut werden. Für die Standardeinrichtung für code scanning ist einer der wichtigsten Bereiche, den Fachexperten (SMEs) verstehen müssen, das Interpretieren und Beheben von code scanning-Warnungen. Weitere Informationen über code scanning-Warnungen finden Sie unter:

• Informationen zu Codeüberprüfungswarnungen
• Bewerten von Warnungen der Codeüberprüfung für das Repository
• Problemlösung für Warnungen der Codeüberprüfung

Sie benötigen auch SMEs, wenn Sie die erweiterte Einrichtung für code scanning verwenden müssen. Diese SMEs benötigen Kenntnisse über code scanning-Warnungen sowie Themen wie GitHub Actions und dem Anpassen von code scanning-Workflows für bestimmte Frameworks. Bei benutzerdefinierten Konfigurationen der erweiterten Einrichtung ziehen Sie Besprechungen zu komplizierten Themen in Betracht, um das Wissen mehrerer SMEs gleichzeitig zu vergrößern.